Stara podatność w Office nadal pozwala hakerom umieszczać backdoory

Stara podatność w Office nadal pozwala hakerom umieszczać backdoory

Autor: Krzysztof Sulikowski

Opublikowano: 7/30/2018, 7:51 PM

Liczba odsłon: 1679

Z internetowych czeluści wyłoniło się nowe malware o nazwie Felixroot, używające starych podatności w Microsoft Office, by kraść dane. Wektorem ataku są spreparowane maile phishingowe, zawierające rzekomo informacje o ochronie środowiskowej. Malware jest aktywny na Ukrainie, ale bardzo możliwe, że rozprzestrzeni się też na innych obszarach. Co jeszcze wiadomo o podatnościach w Office i opartych na nich atakach?

Felixroot

Backdoor został odkryty w 2017 r., ale przez kilka miesięcy pozostawał uciszony. Nowy exploit został tymczasem odkryty przez badaczy z FireEye, którzy połączyli go ze starszym malware, aktywnym na Ukrainie w zeszłym roku. Malware exploituje dwie podatności w Microsoft Office - CVE-2017-0199 i CVE-2017-11882 - i jest rozpowszechniane za pomocą pliku o nazwie "Seminar.rtf". Plik zrzuca specjalny kod do %temp%, który jest używany do wykonania droppera FELIXROOT. Dropper tworzy dwa pliki: LNK, wskazujący na %system32%\rundll32.exe, oraz komponent loadera FELIXROOT. LNK wykonuje komponent loadera i komponent backdoora, który jest całkowicie zaszyfrowany algorytmem XOR z 4-bajtowym kluczem. Po zainstalowaniu się w pamięci pozostaje uśpiony przez 10 minut, by następnie wyczekiwać polecenia uruchomienia i połączenia z serwerem C&C, na który ukradzione dane są dyskretnie przesyłane. Jak podaje FireEye, malware używa Windows API, by otrzymać nazwę komputera, nazwę użytkownika, numer seryjny, wersję Windows, architekturę procesora i inne wartości.

Felixroot

Po dokonaniu kradzieży danych FELIXROOT kończy działanie i zaciera cyfrowe ślady z komputera ofiary. Malware zostało zaprojektowane tak, by nikt nie mógł wyśledzić ścieżki, prowadzącej do odpowiedzialnej za niego grupy. FireEye poinformowało, że nadal rozpracowuje sprawę, dlatego nie ujawnia na razie szczegółów. Oczywiście teraz na usta ciśnie się pytanie, co na to Microsoft. Wieści są dobre. Microsoft wypuścił odpowiednie łatki już w zeszłym roku i ci, którzy je zainstalowali, są odporni na wspomniane podatności.

Skoro podatności zostały załatane, to dlaczego dalej dochodzi do ataków? Odpowiedź jest prosta - wiele organizacji i użytkowników zwleka z instalowaniem aktualizacji, a to cyberprzestępcom tylko ułatwia zadanie. Microsoft wielokrotnie przestrzegał przed konsekwencjami posiadania nieaktualnego oprogramowania, ale z obserwacji wynika, że to jak rzucanie grochem o ścianę.